信息技術監管

出自 MBA智库百科(https://wiki.mbalib.com/)

　　信息技術監管是企業監管的其中一環, 主要監管信息技術系統及其表現, 以及風險管理，並防範信息技術風險。信息技術監管讓涉及信息技術系統的人員及用戶 (例如董事會) 均有參與的機會。

　　信息技術監管主要目的是確保信息技術相關的投資具企業價值，以及減少信息技術相關的風險。 這可以通過定下明確的企業管理框架角式和責任來達到目的。信息技術決定權是信息技術監管重要的範疇，因此明確規定企業的決定權是信息技術成功的重要一環。

　　在美國Enron事件後, 社會上開始註重審計和監管的工作。薩班斯-奧克斯利法案中強調審計和控制的重要性。由於信息系統亦涉及重要的數據，這亦促進了信息技術審核及信息技術監管。在薩班斯-奧克斯利法案第404節中亦影響了信息技術部門對信息技術策略的決定權，增加了對資源系統日常運作的監管控制及變更管理。

　　不過，信息技術監管亦有受到一些批評，例如過嚴格的監管會影響信息技術發展項目的進展，增加審計和開發的成本，影響軟體成本效益。

　　信息技術監管常見機制包括：

• 信息建設文庫(ITIL): 一套公開、用於規範技術服務管理的架構
• CobiT: 一個國際開放型的信息技術目標控制及控制慣例標準
• ISO/IEC 27001
• 信息系統安全管理模式 ISM3
• AS8015-2005 澳洲企業監管 - 信息技術及通信